У соціальній мережі «ВКонтакте» був виявлений спосіб з'ясувати ім'я людини, знаючи його номер телефону. 15 січня опис способу було опубліковано на « Хабрахабр », Після чого на ситуацію звернули увагу розробники соцмережі.
Автор замітки на «Хабрахабр» розповідає про «дірі в системі відновлення пароля соціальної мережі" ВКонтакте "». Для відновлення доступу до сторінки потрібно знати відповідні адресу електронної пошти або номер телефону.
Для відновлення доступу «ВКонтакте» відсилає на номер телефону, прив'язаний до аккаунту, спеціальний код. Безпосередньо перед відправкою соцмережа запитує у користувача, чи правильно була визначена сторінка, для чого виводиться частина інформації з неї.
«Уразливість» полягала в тому, що коли користувач вводив в поле для відновлення пароля номер телефону, «ВКонтакте» виводила ім'я і прізвище користувача, до чиєї сторінці прив'язаний номер, і його аватарку.
На «Хабрахабр» та інших ресурсах порахували, що цією лазівкою можуть скористатися зловмисники, щоб зіставити базу номерів телефонів (їх можна перебирати по порядку) з іменами і фотографіями людей. Ситуація ускладнювалася тим, що «каптча» для захисту від автоматичного перебору було запитано про тільки іноді.
Одним з найбільш очевидних способів використання подібної «бази» могла б стати розсилка SMS-спаму зі згадуванням імені одержувача: ймовірність відгуку в такому випадку зазвичай вище, ніж при поширенні знеособленої реклами. Але на «Хабрахабр» запропонували і інший варіант.
Представники «ВКонтакте» офіційних заяв з приводу знайденої уразливості не робили. Однак один з розробників соцмережі розповів TJournal, що в механізм відновлення доступу до аккаунту був змінений: тепер після введення номера телефону виводиться тільки аватарка пов'язаної з ним сторінки.
При відновленні доступу до аккаунту через повну версію сайту «ВКонтакте» крім номера телефону тепер потрібно вказати також прізвище користувача.
# ВКонтакте # уразливості # SMS_спам # уязвімості_ВКонтакте